Template de consignation de rotation de cle wallet — PD-177
Version : 1.0 Date : 2026-02-23 INV-177-19 : Rotation preserve auditabilite
| Champ | Valeur |
| Date et heure de rotation | YYYY-MM-DDTHH:MM:SS.sssZ (ISO 8601 UTC ms) |
| Raison de la rotation | planifiee / incident / compromission_suspectee |
| Responsable de la rotation | Nom, role |
| Approuve par | Nom du Security Lead |
Ancienne cle
| Champ | Valeur |
| KMS Key ARN | arn:aws:kms:eu-west-3:XXXXXXXXXXXX:key/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX |
| Adresse Ethereum | 0x0000000000000000000000000000000000000000 |
| Statut post-rotation | Disabled (JAMAIS Deleted) |
| Dernier batch signe | |
| - Batch ID | <UUID du dernier batch> |
| - TX Hash | 0x... |
| - Date | YYYY-MM-DDTHH:MM:SS.sssZ |
| - Block number | <numero de bloc> |
Nouvelle cle
| Champ | Valeur |
| KMS Key ARN | arn:aws:kms:eu-west-3:XXXXXXXXXXXX:key/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX |
| Adresse Ethereum | 0x0000000000000000000000000000000000000000 |
| Date de creation | YYYY-MM-DDTHH:MM:SS.sssZ |
| Premier batch signe | |
| - Batch ID | <UUID du premier batch> |
| - TX Hash | 0x... |
| - Date | YYYY-MM-DDTHH:MM:SS.sssZ |
| - Block number | <numero de bloc> |
Verification de continuite d'auditabilite
| Verification | Resultat | Preuve |
| Les batches signes avec l'ancienne cle restent verifiables | oui / non | Query: SELECT COUNT(*) FROM anchor_batches WHERE signer_address = '<old_addr>' AND status = 'FINALIZED' |
| Le premier batch avec la nouvelle cle est correct | oui / non | AnchorProofValidator.validateProofChain() |
| Aucun trou dans la sequence de batches | oui / non | SELECT batch_id, submitted_at FROM anchor_batches ORDER BY submitted_at DESC LIMIT 5 |
| L'ancienne cle KMS est disablee (pas deleted) | oui / non | aws kms describe-key --key-id <OLD_ARN> → KeyState: Disabled |
Signature
| Role | Nom | Date | Signature |
| SRE executant | | | |
| Security Lead | | | |
| CTO (si compromission) | | | |